龙 飞，刘 凯，王英冬

（湖南省邮电规划设计院有限公司，长沙 410011）

随着高校信息化应用的不断深入和推进，同时互联网应用和信息资源不断地丰富，校园网用户对接入Internet的网络带宽的需求越来越大，构建全面满足教学、科研、及高速上网需求，各运营商也纷纷入驻校园网分别组建自己的网络，形成了校园网多链路、多出口、认证节点多、用户体验差的局面，校园网的可控可管存在安全隐患。本文基于这种背景之下，对校园网出口问题进行分析，探讨了对多个运营商进行统一出口改造的部署方案，为校园用户提供稳定可靠的电信级的认证计费服务，确保校园网达到可运营的电信服务质量。

1 校园网出口现状及问题分析

目前，大多高校和运营商合作运营校园网，采取由学校委托运营商进行校园网基础网络建设，运营商前期投入设备，再从后期的运营收入中获取一定比例的回报。当多家运营商进入高校，通常是各运营商分别承建高校不同区域网络。即分别在校园网部署出口路由器，每个运营商都给系统分配接入公网的IP地址，不论是硬件设备连接上还是IP地址分配上，网络的接入都相对复杂。多个运营商采用不同的认证方式、不同的出口链路，有着各自独立的账号和计费系统。造成认证节点多，用户体验差，可溯源管理薄弱。

2 可运营解决方案部署

校方与多运营商的合作运营是基于避免多运营商相互干扰和重复建设的原则，实现共建共营的目标，从而降低维护压力，提高管理效率，提升用户体验。

在校园网接入多个运营商的路由出口，能保证各运营商有各自独立的账号和认证计费系统；按照用户选择哪个运营商，则访问互联网就走哪个运营商链路的原则，用户的运营商账号认证之后应自动路由至运营商链路。本文提出了两种组网部署方案：

2.1 方案一部署专用BRAS解决方案

本方案以校区防火墙为统一出口，在防火墙内侧与校园网核心交换机之间部署一台专用BRAS，所有需认证计费用户全部通过校园网核心交换机采用二层方式接入BRAS，和各运营商可以采用合作运营分成模式。

2.1.1 一次登录，多种认证方式

用户运营商账号可与校园网账号进行绑定，通过这种方式校园用户可直接使用校园网账号，通过校园端的校园认证计费系统认证，选择相应的运营商出口，即完成运营商账号的认证。BRAS可提供多种主流认证技术，组网时可以自由选择认证方式，可以任选一个或多个。如A用户选择移动，采用Portal认证，B用户选择电信，采用PPPOE认证。

（1）针对Portal用户，BRAS到DHCP服务器给用户分配IP地址，用户第一个HTTP报文进行重定向到Portal服务器，通过用户名和密码实现WEB认证，认证通过后给用户分配合法地址，允许用户访问公网。（2）针对PPPoE用户，BRAS到AAA服务器进行用户名和密码认证，认证通过后，给用户分配IP地址。

2.1.2 灵活计费方式

BRAS可针对每用户进行计费，计费报文实时发送给AAA服务器。校园网对用户接入业务访问目的地址的差别进行管理，根据不同的目的地址定义不同的费率级别进行收费和不同的网速控制，实现访问校内资源或教育网不计费，访问公网计费，采用不同的收费策略。

图1 部署专用BRAS

2.1.3 运营价值

精细化的网络运营方案，可提供运营级的城域网业务支撑。

（1）能够对用户进行精细化管理，提供细化到用户级的QoS保障，多维度用户资源管理；（2）能够统一业务平台，全面支持各种用户管理方式，适应多样化的设备接入，一体化设计来降低建网成本，提高业务部署效率，增加业务开展的灵活性，实现盈利能力的提升；（3）根据学生的上网带宽需求，给不同上网带宽需求的学生分配不同的带宽，并可提供先进的调度与拥塞避免技术，提供精确的流量监管和流量整形功能，支持流细粒度鉴别，有效的提高了学校出口带宽的利用率，另一方面，还可以通过学生的上网帐号，实时查看学生的上网流量、上网时长等信息，做到可溯源管理。

2.2 方案二部署SAM系统解决方案

本方案部署出口路由器1台，可绕行BRAS，直联各运营商城域网核心节点，并在校园网部署SAM（安全计费管理）系统1套，作为全网的用户认证中心，各运营商分别部署运营商SAM系统1套，负责运营商用户的管理、以及该类用户认证计费请求转发，和运营商BOSS（业务运营支撑系统）联动。运营商SAM可以部署在运营商机房、也可部署在学校机房。保持IP地址可达即可。实现校内学校师生用户只需一套校园网帐号通过统一的认证接口平台即可按需登录，基于账户对应的权限访问校园网资源、运营商出口等资源。学校管理方通过统一的校园网认证计费系统对用户进行网络的准入和准出管理与记录。

图2 部署SAM系统

2.2.1 一个账户、统一认证

运营商和校园网独立开户后，通过运营商BOSS系统与运营商SAM的配合，将两个运营商帐号和校园网账号进行关联，达到两套帐号但使用时只记忆校园网帐号即可。

SAM系统支持WEB认证和802.1X 两种认证方式。校园网SAM收集用户认证信息后，判断用户是否有权限访问内网；接着在校园网SAM上将校园网账号转换成运营商账号，通过radius proxy协议将用户的认证请求和计费请求报文转发给运营商BOSS处理，由BOSS系统的判断结果告知校园网SAM是否得到认证通过，一旦认证通过，将放行用户端口启动计费流程。

2.2.2 不同计费策略

运营商宽带业务的校园网用户在在运营商BOSS系统计费。认证系统在收到用户的计费信息后，会将其帐号转换成运营商帐号，并将该报文透明转发给运营商计费系统，由运营商系统进行计费。同时可实现内网与公网用户不同计费策略。

并且由校园网出口设备来实行运营商下发的套餐控制策略，所以在SAM系统上可以记录不同的运营商、不同的套餐对应的用户，校方即可按照不同档位的套餐用户按照不同的分成金额进行准确的分成核算。

2.2.3 运营价值

通过此种方式，使运营商和校方双方投入最少的资源和工作量进行运营，且满足双方不同的需求，兼顾了运营商开户和收费的权利，以及校方参与监管的需求。

（1）运营商拥有开户和收费的权利，同时，校方能够监控该网络、在必要时进行控制管理；（2）统一认证、统一管理，支持多运营商共同运营；（3）精准的分成核算，校园网出口设备实行运营商下发的套餐控制策略，所以在SAM系统上可以记录不同的运营商、不同的套餐对应的用户，校方即可按照不同档位的套餐用户按照不同的分成金额进行进行准确的分成核算。

3 结束语

打造一个安全可运营的校园认证计费系统，可以保障校园拥有独立的运营管理，运营商可以赢得收益，同时校园师生还能享受到便捷贴心的连网服务，真正实现三方共赢的最终目的。本文提供的部署方案灵活的解决了多接入、多出口、多认证计费的组网问题，校方及合作运营商实现了对校园网的共同运营和监管，并最大限度的保护了既有网络建设的投资，又做到可溯源管理，帮助学校把信息安全事件防患于未然。

[1] 周俊杰.校园网中三种常用认证计费技术的对比分析[J].网络安全技术与应用，2009（9）.

[2] 刘岚.校园网多出口优化技术与应用探讨[J].科技资讯，2011，1.

[3] 刘晨光，殷丽.校园网认证技术的研究与应用[J].电脑知识与技术，2009（5）.